病毒名称:BitDefender:Trojan.Generic.556014
            Kaspersky:Trojan.Win32.Vaklik.cpz
            NOD32v2:probably a variant of Win32/Genetik
            Rising:Trojan.DL.Win32.Undef.arh
VT扫描时间:09.29.2008 19:40:52 (CET)
EQS Lab编号:080930107
EQS Lab地址:[url]http://hi.baidu.com/eqsyssecurity[/url]
病毒大小:41.0 KB (42,069 字节)
MD5码:64A08C3E6C6FC912E529F9D727187466
病毒类型: 特洛伊***
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean)    EQSecurity(HIPS) 实机
危害程度:★★★☆☆

病毒行为:

运行后调用net1.exe 启动sharedaccess服务
2008-09-30 20:27:02 运行应用程序   
进程路径:F:\Once\13\13.exe
文件路径:C:\WINDOWS\system32\net1.exe
命令行:start sharedaccess
触发规则:所有程序规则->系统工具->%windir%\system32\net1.exe
释放exe 并调用   hash一致
2008-09-30 20:27:07 创建文件      
进程路径:F:\Once\13\13.exe
文件路径:C:\windows\system32\dllcache\wgaitrey.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe

2008-09-30 20:28:11 运行应用程序   
进程路径:F:\Once\13\13.exe
文件路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
触发规则:所有程序规则->阻止运行->%windir%\*
自删除
2008-09-30 20:27:11 运行应用程序   
进程路径:F:\Once\13\13.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c   del F:\Once\13\13.exe > nul
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe
调用net1.exe
2008-09-30 20:28:47 运行应用程序   
进程路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
文件路径:C:\WINDOWS\system32\net1.exe
命令行:start sharedaccess
触发规则:所有程序规则->系统工具->%windir%\system32\net1.exe
隐藏自身
2008-09-30 20:28:48 修改文件   
进程路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\dllcache\wgaitrey.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
修改userinit启动项
2008-09-30 20:28:53 修改注册表内容   
进程路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Userinit
更改后:C:\windows\system32\userinit.exe,C:\windows\system32\dllcache\wgaitrey.exe,
更改前:C:\WINDOWS\system32\userinit.exe,
触发规则:所有程序规则->自动运行->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
发消息关闭防火墙
2008-09-30 20:29:00 进程间消息操作   
进程路径:C:\WINDOWS\system32\dllcache\wgaitrey.exe
目标进程:C:\Program Files\FengYun\FYFireWall.exe
消息类型:WM_QUIT
触发规则:所有程序规则->进程保护->C:\Program Files\FengYun\FYFireWall.exe
联网行为:
关键行为:

向系统目录创建exe  

修改userinit启动项

发消息关闭防火墙


HIPS防范对策:


阻止陌生程序向系统目录创建exe  

阻止陌生程序修改userinit启动项

阻止陌生程序发消息关闭防火墙

阻止陌生程序修改userinit启动项

阻止陌生程序联网